JBOSS服务器安全配置基线

1、中国移动通信CHINA MOBILE精品文档JBOSS服务器安全配置基线JBOSS服务器安全配置基线中国移动通信有限公司管理信息系统部2012年04月版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。2欢迎下载精品文档CHINA MOBILE目录第1章概述11.1 目的 11.2 适用范围 11.3 适用版本 11.4 实施 11.5 例外条款 1第2章帐号管理、认证授权 22.1 帐号 22.1.1 jmx-co nsole登录的用户名和密码管理 22.1.2 web-console登录的用户名和密码

2、管理 32.2 口令 42.2.1 密码复杂度 42.2.2 密码生存期* 52.3 授权 62.3.1 用户权利指派* 6第3章日志配置操作73.1 日志配置 73.1.1 审核登录 7第4章 IP协议安全配置 84.1 IP 协议 84.1.1 支持加密协议 8第5章设备其他配置操作 105.1 安全管理 105.1.1 定时登出 105.1.2 更改默认端口* 105.1.3 错误页面处理 115.1.4 目录列表访问限制 12第6章评审与修订 13I欢迎下载中国移动通信CHINA MOBILE精品文档第1章概述1.1 目的本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的Jb

3、oss服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行Jboss服务器的安全配置。1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本配置标准适用的范围包括：支持中国移动集团公司管理信息系统部运行的Jboss服务器系统。1.3 适用版本4.x版本的Jboss服务器。1.4 实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5 例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。第2

4、章帐号管理、认证授权2.1 帐号jmx-console登录的用户名和密码管理安全基线项 目名称jmx-co nsole登录的用户名和密码管理安全基线编 号SBL-Jboss-02-01-01安全基线项 说明默认情况访问 http:/ip:port/jmx-c on sole用户名密码限制帐号，提高安全性。需要输入用户名和密码。设置检测操作步 骤1、参考配置操作（1）修改Jboss目录下$jboss/server/$server/deploy/jmx-c on sole.war/WEB-INF/jboss-web.xml，去掉节点的注释修改 jboss-web.xml同级目录下的 web.xml

5、 文件 ，去掉节点的注释，在这里可以看到为登录配置了角色JBossAdm in（2） jmx-console的安全域和运行角色 JBossAdmin者E是在logi n-con fig.xml中 配 置，在 Jboss的安装目录$jboss/server/$server/c onfig下找至 到 在 logi n-con fig.xml中查找jmx-c on sole 的 applicati on-policy可以看到登录的角色、 用户等信息分别在 $jboss/server/$server/c on fig/props的perties禾口 jmx-c

6、perties文件中配置2、补充操作说明（1）jmx-c on perties文件中定义了一个用户名为admin,的用户。（2）perties文件中默认为admin用户,定义了JBossAdmi n 和 Http In voker 这两个角色。1欢迎下载二I 土彳丈-总：精品文档CHINA MOBILE基线符合性 判定依据1、检测操作登陆 http:/ip:port/jmx-c on sole不能正常访问2、补充操作判定条件输入 perties文件中定

7、义的用户名和密码登陆正常备注web-console 登录的用户名和密码管理安全基线项 目名称web-co nsole登录的用户名和密码管理安全基线要求项安全基线编SBL-Jboss-02-01-02号安全基线项不需要输入用户名和密码存在安全隐患。设置用户名密码限制帐号。说明检测操作步1、参考配置操作骤修改Jboss目录下$jboss/server/$server/deploy/ma nageme nt/con sole-mgr.sar/web-console.war/WEB-INF 下 jboss-web.xml 文件，去掉 节点的注释。修改中 jboss-web.xml同 目录下的 web.

8、xml 文件，去掉节点的部分注释进行修改，修改的内容如下：修改 server/default/conf下的 login-config.xml文件2、补充操作说明1、perties文件中默认定义了一个用户名为密码也为admin的用户。admin，2、perties文件中 默认为 admin 用户 定义了JBossAdmi n 和 Http In voker 这两个角色。基线符合性1、检测操作判定依据登陆 http:/ip:port/web-co nsole/不能访问页面2、补充操作判定条件CHINA MOBILE

9、输入 perties文件中定义的用户名和密码登陆正常备注2.2 口令密码复杂度安全基线项 目名称Jboss密码复杂度安全基线要求项安全基线编 号SBL-Jboss-02-02-01安全基线项 说明对于米用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每 90天进行更换。检测操作步 骤1、参考配置操作1. 在 $jboss/server/$server/deploy/oracle-ds.xml配置文件中设置oracle密码机密En cryptDBPassword2

10、. 在 $jboss/server/$server/conf/login-config.xml配置文件中设置JNDI加密-testDataSource是连接池的名称apps-用户名3fb2b2b29f74131a -加密后的密码jboss.jca:service=LocalTxCM ,n ame=testDataSourceCHINA MOBILE v/applicati on-policy2、补充操作说明口令要求：长度至少 8位，并包括数子、小与子母、大与子母和特殊符号4类中至少2类。基线符合性 判定依据1、判定条件检查 $jboss/server/$server/conf/login-co

11、nfig.xml配置文件中的帐号口令是否符合移动通过配置口令复杂度要求。2、检测操作(1)人工检查配置文件中帐号口令是否符合；备注密码生存期安全基线项 目名称Jboss密码生存期安全基线要求项安全基线编 号SBL-Jboss-02-02-02安全基线项 说明对于米用静态口令认证技术的设备，应支持按天配置口令生存期功能，帐号口令的生存期不长于 90天。检测操作步 骤1、参考配置操作定期对管理 Jbosss Web、JMX服务器的帐号口令进行修改，间隔不长于90天。基线符合性 判定依据1、判定条件90天后使用原帐号口令进行登陆尝试，登录不成功；2、检测操作使用超过90天的帐号口令进行登录尝试；备注

12、根据应用场景的不冋，如部署场景需开启此功能，则强制要求此项。适用于4.x、5.x、6.x所有版本。5欢迎下载精品文档中国移动通信CHINA MOBILE2.3 授权用户权利指派安全基线项 目名称Jboss用户权利指派安全基线要求项安全基线编 号SBL-Jboss-02-03-01安全基线项 说明在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。检测操作步 骤1、参考配置操作编辑/server/default/config/login-config.xml配置文件，修改用户角色权限vapplication-policy name = jmx-consolevlogin-module

13、 code=org.jboss.security.auth.spi.UsersRolesLoginModule flag = required vmodule-option name=usersPropertiesprops/perties vmodule-option name=rolesPropertiesprops/perties 2、补充操作说明jmx-console角色浏览jboss的部署管理信息。Web-console角色进行监控基线符合性 判定依据1、判定条件输入web-console-users

14、.properties文件中定义的用户名和密码登陆正常输入perties文件中定义的用户名和密码登陆正常2、检测操作登陆http:ip:port/web-co nsole/访冋页面正常登陆http:/ip:port/jmx-co nsole/访冋页面正常备注第3章日志配置操作3.1 日志配置审核登录安全基线项 目名称Jboss审核登录安全基线要求项安全基线编 号SBL-Jboss-03-01-01安全基线项 说明设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的 帐号，登录是否成功，登录时间，使用的IP地址。检测操作步 骤1、参考配置操

15、作编辑 $jboss/server/$server/conf/ Iog4j.xml配置文件，verrorHa ndlerclass=org.jboss.loggi ng.util.O nly On ceErrorHa ndler/vparamn ame=Filevalue=$jboss.servero g.dir/server.log/vparam n ame=Appe nd value=true/vparam name=Threshold value=ERROR/vparam name=DatePattern value=.yyyy-MM-dd_HH/vlayout class=org.ap

16、ache .lo g4j.Patter nLayoutvparamn ame=C onversion Patter nvalue=%d%-5p%t%c1 %l %m% n/v/layoutv/appe nder2、补充操作说明Threshold是个全局的过滤器，它将把低于所设置的level的信息过滤不显示出来优先级由高到低分为OFF ,FATAL ,ERROR ,WARN ,INFO ,DEBUG ,ALL参数都以开始后面不冋的参数代表不冋的格式化信息（参数按子母表顺序列出）：%c输出所属类的全名，可在修改为%dNum ,Num类名输出的围%输出日志时间其格式为%dyyyy-MM-dd HH:

17、mm:ss,SSS，可指定格式如 %dHH:mm:ss%l输出日志事件发生位置，包括类目名、发生线程，在代码中的行数7欢迎下载二I 土彳丈-总：精品文档CHINA MOBILE%换行符%m输出代码指定信息，如 info( message”，输出message %p输出优先级，即 FATAL ,ERROR等%r输出从启动到显示该log信息所耗费的毫秒数%t输出产生该日志事件的线程名基线符合性 判定依据1、判定条件查看logs目录中相关日志文件内容，记录完整2、检测操作查看server.log 中相关日志记录3、补充说明备注第4章IP协议安全配置4.1 IP协议支持加密协议安全基线项 目名称Jbo

18、ss支持加密协议安全基线要求项安全基线编 号SBL-Jboss-04-01-01安全基线项 说明对于通过HTTF协、议进行远程维护的设备，设备应支持使用HTTPS等加密协议。检测操作步 骤1、参考配置操作(1) 使用JDK自带的keytool工具生成一个证书JAVA_HOME/bi n/keytool -ge nkey-alias tomcateyalg RSA-keystore /path/to/my/keystore(2) 修改$jboss/server/$server/deploy/jbossweb-tomcat55.sar/c on f/server.xml配置文件，更改为使用http

19、s方式，增加如下行：Conn ector class name= org.apache.catali na.http.HttpC onn ector”port= 8443 minProcessors= 5 maxprocessors= 100 ” enableLookups= true acceptCount= 10 debug= 0 schemehttps secure= true Factory class name= org.apache.catali na.SSLServerSocketFactoryclientAuth=false keystoreFile=/path/to/my/k

20、eystore keystorePass= run wayprotocol= TLS/CHINA MOBILE/Conn ector其中keystorePass 的值为生成 keystore 时输入的密码(3)重新启动Jboss服务基线符合性 判定依据1、判定条件使用https方式登陆Jboss服务器页面，登陆成功2、检测操作使用https方式登陆Jboss服务器管理页面备注9欢迎下载二I 土彳丈-总：精品文档第5章设备其他配置操作5.1 安全管理定时登出安全基线项 目名称Jboss定时登出安全基线要求项安全基线编 号SBL-Jboss-05-01-01安全基线项 说明对于具备字符交互界面的设

21、备，应支持定时账户自动登出。登出后用户需再 次登录才能进入系统。检测操作步 骤1、参考配置操作编辑$jboss/server/$server/deploy/jbossweb-tomat55.sar/server.xml配置文件，修改为 2000秒基线符合性 判定依据1、判定条件30分自动登出。2、检测操作登陆jboss默认页面，使用管理帐号登陆3、补充说明备注更改默认端口安全基线项 目名称Jboss运行端口安全基线要求项安全基线编 号SBL-Jboss-05-01-02CHINA MOBILE安全基线项 说明更改tomcat服务器默认端口检测操作步 骤1、参考配置操作（1）修改$jboss/server/$server/deploy/jbossweb-tomat55.sar/server.xml配置文件，更改默认管理端口到8100（2）重启JBOSS服务2、补充操作说明Jboss 默认端口是 8080,通常占用的端口是 1098，1099, 4444，4445，8080， 8009， 8083， 8093在 windows 系统中：1098、1099、4444、4445、8083 端口在 /server/ehr_jsprd/con f/jboss-service.xml中8080端口在/serve